CAJ | 학술논문

网络入侵检测系统使用大量特征集来识别入侵,需要处理庞大的网络流量,目前大多数现有的系统缺乏实时异常检测能力.提出了一种基于有效载荷的多级实时入侵检测系统,它首先采用n-gram分析网络数据包有效载荷来构建特征模型,进行数据准备;其次采用3级迭代特征选择引擎进行特征子集选择,其中主成分分析用于数据的预处理,并结合累积能量、平行分析和碎石检验进行主成分选择;最后采用马氏距离图发现特征间及数据包间隐藏的相关性.马氏距离的差异性准则用来区分正常或攻击数据包.通过DARPA 99和GATECH数据集验证了该系统的有效性,用Web应用程序流量验证了其模型,用F值评估了其检测性能.与目前同类主流的两款入侵检测系统进行了对比试验,结果表明:该系统提高了检测精度,降低了误报率和计算复杂度.与中型企业网的真实场景相比,它具有1.3倍的高吞吐量.
망락입침검측계통사용대량특정집래식별입침,수요처리방대적망락류량,목전대다수현유적계통결핍실시이상검측능력.제출료일충기우유효재하적다급실시입침검측계통,타수선채용n-gram분석망락수거포유효재하래구건특정모형,진행수거준비;기차채용3급질대특정선택인경진행특정자집선택,기중주성분분석용우수거적예처리,병결합루적능량、평행분석화쇄석검험진행주성분선택;최후채용마씨거리도발현특정간급수거포간은장적상관성.마씨거리적차이성준칙용래구분정상혹공격수거포.통과DARPA 99화GATECH수거집험증료해계통적유효성,용Web응용정서류량험증료기모형,용F치평고료기검측성능.여목전동류주류적량관입침검측계통진행료대비시험,결과표명:해계통제고료검측정도,강저료오보솔화계산복잡도.여중형기업망적진실장경상비,타구유1.3배적고탄토량.